Saúde

Vazamento de senhas expõe dados de 16 milhões de pacientes com Covid-19

Canal Tech | 27/11/20 - 12h38
Pexels

Cerca de 16 milhões de brasileiros com diagnósticos suspeitos ou confirmados da COVID-19, inclusos em banco de dados do Ministério da Saúde, tiveram seus dados expostos na internet por quase um mês, segundo denúncia feita pelo jornal O Estado de São Paulo, nesta quinta-feira (26). O acesso a essas informações teria sido liberado, após senhas da Saúde serem publicadas no GitHub.

As senhas vazadas na plataforma para compartilhamento de códigos de programação e arquivos permitiam acesso a dados como CPF, endereço, telefone e doenças pré-existentes dos pacientes. Quanto ao perfil dessas pessoas, foram expostos tanto usuário da rede pública quanto da privada — incluindo membros do governo federal —, já que a notificação de quadros suspeitos ou confirmados do novo coronavírus (SARS-CoV-2) ao Ministério da Saúde é obrigatória para todos os hospitais.

Diferente das falhas de segurança que o Ministério da Saúde reportou nas últimas semanas, como a invasão de hackers, esta recente exposição de dados não foi causada por nenhum tipo de ataque hacker e nem por falha de segurança do sistema.

Como os dados de pacientes foram vazados?

Conforme relata o jornal, as senhas da Saúde estavam em uma planilha que teria sido publicada por um funcionário do Hospital Albert Einstein, com sede em São Paulo, no GitHub. De acordo com o hospital, o funcionário tinha acesso aos dados, porque estava trabalhando em um projeto com a pasta.

Procurado após a descoberta do caso, o funcionário do hospital confirmou ter publicado uma planilha com as senhas em seu perfil na plataforma. No entanto, o seu objetivo era a realização de um teste na implementação de um modelo, mas ele teria esquecido de remover o arquivo da página pública, o que permitiu amplo acesso aos dados de pacientes com suspeita ou diagnosticados para a COVID-19.

Com as senhas compartilhadas, era possível acessar os registros do coronavírus lançados em dois sistemas federais: o E-SUS-VE, onde são notificados casos suspeitos e confirmados de quadros leves ou moderados da infecção; e o Sivep-Gripe, em que estão notificadas todas as internações por Síndrome Respiratória Aguda Grave (SRAG). Entre as informações complementares dos usuários disponíveis, estavam a existência de doenças ou condições pré-existentes, entre elas diabete, problemas cardíacos, câncer e HIV.

Segundo o jornal, a denúncia sobre os dados expostos teria sido recebida com um link para página, onde as senhas estavam disponíveis, desde o dia 28 de outubro.

Número de pacientes da COVID-19?

Após o caso, em nota, o Hospital Albert Einstein afirmou que o funcionário responsável foi demitido "por ter infringido as normas internas adotadas para garantir proteção e segurança de dados". Ainda em comunicado, a instituição de saúde comentou que as informações "foram removidas imediatamente e o fato comunicado ao Ministério da Saúde para que fossem tomadas medidas que assegurassem a proteção das referidas informações".

Em nota, o Ministério da Saúde ressaltou que "o hospital confirmou que houve falha humana de um dos seus colaboradores - e não do sistema". Além disso, a pasta confirmou que "todos os acessos dos logins e das senhas que estavam contidos na referida planilha" foram removidos.

"É importante ressaltar que os dados não são de fácil acesso, uma vez que apenas login e senha não são suficientes para se chegar às informações contidas nos bancos de dados - e sim um conjunto de fatores técnicos. O Ministério da Saúde ressalta que todos os técnicos que têm acesso aos seus sistemas de informação assinam termo de responsabilidade para uso das informações e todos estão cientes de que a divulgação de informações pessoais está sujeita a sanções penais e administrativas", completa o Ministério da Saúde.

Entretanto, nenhuma das duas organizações confirmaram o número de pacientes cujas informações podem ter ficado expostas após a publicação das senhas.